De Manfield-zaak: werkgever mag werknemer niet zomaar verplichten om vingerafdruk af te staan

 In Blogs

De rechtbank Amsterdam boog zich recent over de vraag of een werkgever (schoenenwinkel) een werknemer (winkelbediende) kan verplichten om een vingerafdruk af te staan voor de bediening van het kassasysteem. Het oordeel van de rechtbank is helder: nee, dat mag niet zomaar. In dit blog leg ik uit wat er in deze zaak speelde, hoe de rechtbank tot haar oordeel kwam en wat u hier als werkgever mee kunt.

Wat was er aan de hand?

De schoenenwinkelketen Manfield is naar eigen zeggen recent geconfronteerd met een aantal fraudezaken waar werknemers bij betrokken waren die onrechtmatig geld weghaalden uit de kassa’s. Manfield vond dan ook dat zij haar bedrijfsbelang kon dienen door het kassasysteem beter te beveiligen. Anders gezegd: zij vond dat er een noodzaak was om het vingerscanautorisatiesysteem te gebruiken. Die noodzaak lag niet alleen in het beschermen van het bedrijfsbelang, maar ook bij het kunnen beveiligen van de gevoelige informatie die via het kassasysteem toegankelijk is. Manfield stelde dat zij als verwerkingsverantwoordelijke in de zin van de AVG verplicht is om passende technische en organisatorische maatregelen te nemen om de persoonsgegevens in het systeem te beveiligen. Die passende manier was volgens Manfield via het vingerscanautorisatiesysteem.

De medewerkster van Manfield wilde echter haar vingerafdruk niet afstaan. Volgens de medewerkster is een vingerafdruk een biometrisch en daarmee een bijzonder persoonsgegeven wat door Manfield in deze concrete situatie niet zou mogen worden gebruikt.

Het toetingskader: de AVG en de UAVG De vraag of een werkgever een werknemer mag verplichten om een vingerafdruk af te staan, wordt beantwoord met behulp van de AVG. In Nederland zijn daarnaast in de uitvoeringswet UAVG nog aanvullende regels opgenomen. Op grond van de AVG is een vingerafdruk een biometrisch en daarmee bijzonder persoonsgegeven. De rechter volgt hierin de redenering van de werknemer van Manfield. Bijzondere persoonsgegevens mogen op grond van de AVG en UAVG niet verwerkt worden, tenzij hiertoe een noodzaak zou bestaan en de verwerking van de gegevens proportioneel is. De verwerking met dan noodzakelijk zijn voor authenticatie- of beveiligingsdoeleinden.

Waarom hoefde de werknemer haar vingerafdruk in deze situatie niet af te staan?
Hoewel Manfield beargumenteerde dat alternatieve kassabeveiligingssystemen niet afdoende zouden zijn om hun belangen te beschermen, was de rechter het hier niet mee eens. Het beschermen van een bedrijfsbelang, is volgens geen reden die valt onder “noodzakelijk voor authenticatie- of beveiligingsdoeleinden” in de zin van de AVG. Volgens de rechter heeft Manfield in deze zaak niet voldoende onderbouwd waarom het vingerscanautorisatiesysteem in deze concrete situatie noodzakelijk was. Daar liep het uiteindelijk op spaak.

Lessen voor u als werkgever

De AVG is niet bedoeld om allerlei verwerkingen te verbieden, of het u als werkgever heel lastig te maken. Natuurlijk moet u persoonsgegevens beveiligen, maar de AVG zegt nergens dat u dit moet doen met een heel hoog beveiligingsniveau. De beveiliging moet passend zijn. De afwegingen die u maakt die uiteindelijk ertoe leiden dat u een vingerscanautorisatiesysteem gaat gebruiken, moet u vastleggen. Dat is heel belangrijk. Manfield kon in deze zaak niet goed uitleggen hoe zij de afwegingen hadden gemaakt waardoor de verwerking de noodzakelijkheidstoets en proporitionaliteitstoets kon doorstaan. Leg daarom altijd vast welk doel de verwerking heeft en hoe u dit doel kunt bereiken. Waarom werken minder vergaande beveiligingsmaatregelen (zoals toegang tot de kassa door middel van een pasje of persoonlijke pincode) niet? Weeg af en documenteer, dan komt u al een heel eind.

Simone Dirven

Recent Posts

Leave a Comment